Google Analytics on ylivoimaisesti käytetyin verkkosivujen analytiikkatyökalu. Google ei tosin ole kunnostautunut varsinaisena yksityisyyden puolustajana, mikä aiheuttaa haasteita GDPR:n aikakaudella. Ensinnäkin analytiikkadata siirretään Googlen palvelimille eli kolmannelle osapuolelle. Toiseksi data sisältää mahdollisesti käyttäjän yksilöiviä tunnisteita, kuten IP-osoitteen. Kaikkein suurimman ongelman kuitenkin aiheuttaa se, että oletuksena Google Analytics luovuttaa käyttäjädataa emoyhtiölleen. Tämän datan avulla Googlen on helppo tunnistaa käyttäjän henkilöllisyys ja saada käyttöönsä lukemattomia datapisteitä hänen kiinnostuksen kohteistaan, käyttäytymismalleistaan ja muusta toiminnasta kymmenillä miljoonilla sivustoilla, joilla Analytics on käytössä. Vastineeksi verkkosivuston ylläpitäjä saa ilmaisen työkalun sivuston vierailujen analysoimiseen.
Muutama vuosi sitten EU havahtui Googlen ja Facebookin kaltaisten jättien datankeruuseen. Vastauksena holtittomille datavirroille syntyi yleinen tietosuoja-asetus GDPR, joka ottaa vahvasti kantaa EU:n kansalaisten yksityisyydensuojan puolesta. Ennen kaikkea kyse lienee kuitenkin siitä, että dataa (pääomaa) liikkuu EU:sta Yhdysvaltoihin vastikkeetta, mikä on heikentää EU:n taloutta. Olivatpa tarkoitusperät mitä tahansa, fakta on, että kaikkien EU-kansalaisista dataa keräävien yhteisöjen ja yksityishenkilöiden on noudatettava tietosuoja-asetusta.
GDPR ei missään nimessä kiellä henkilötietojen yksityiskohtaistakaan käsittelyä eikä siirtämistä kolmansille osapuolille – niin kauan, kun henkilö on antanut tähän aktiivisen suostumuksen. Tämän takia joka paikassa näkee nykyisin erilaisia evästelupakyselyitä. On hieman harhaanjohtavaa, että näissä bannereissa puhutaan usein nimenomaan evästeistä – oikeastihan kyse on henkilötietojen käsittelystä. Sivusto voi ihan ilman lupaa asettaa vaikka tuhat evästettä, jos niillä on jokin pyydetyn palvelun tarjoamisen edellyttämä tehtävä. Toisaalta sivusto voi toteuttaa GDPR:n alaista henkilötietojen käsittelyä tuhannella tavalla asettamatta yhtäkään evästettä.
Minä en evästelupakyselyistä niin välitä. Kiellän aina ylimääräiset. Jos sitä ei ole tehty yhtä helpoksi kuin hyväksymistä, kiroan lainvastaisen toteutuksen ja käyn naksuttelemassa yksi kerrallaan kaikki mahdolliset käyttötarkoitukset pois päältä. Kaikkein ärsyttävimpiä ovat kyselyt, joissa pitää osata lisäksi klikata erillistä linkkiä, että pääsee vastustamaan myös oikeutetun edun mukaista tietojen käsittelyä. Palvelun toteutuksen kannalta ei-välttämättömän henkilötiedon käsittely kun ei voi viranomaisen laintulkinnan mukaan perustua oikeutettuun etuun. (Fun fact: tätä kirjoittaessani Suomen 10:stä vierailluimmasta verkkomediasta vain yksi noudattaa voimassaolevaa laintulkintaa. Se ei ole Helsingin Sanomat eikä Yle vaan – kuinka ollakaan – Seiska.)
Jossain vaiheessa tullaan pisteeseen, jolloin käyttäjästä ei enää kerätä oikeastaan mitään yksilöiviä henkilötietoja, vaan data koskee ainoastaan käytettävää palvelua.
Evästelupakyselyiden onkin todettu häiritsevän käyttökokemusta ja saavutettavuutta. Lisäksi dataa kerätään monesti yli tarpeen. On helppo asentaa Google Analytics oletusasetuksillaan ja antaa sen raksuttaa Googlelle hyvin yksityiskohtaista dataa sivuston käyttäjistä – ja samalla unohtaa hyödyntää dataa itse. Väitän, että erityisesti pienet organisaatiot tulisivat toimeen paljon pelkistetymmällä datalla kuin mitä Google Analytics niille tuottaa. Ja kun dataa lähdetään karsimaan, jossain vaiheessa tullaan pisteeseen, jolloin käyttäjästä ei enää kerätä oikeastaan mitään yksilöiviä henkilötietoja, vaan data koskee ainoastaan käytettävää palvelua eli juuri sitä kohdetta, jonka kehittämiseen organisaatiolla lienee suurimmat intressit. Koska tällöin käyttäjästä ei kerätä mitään tietosuoja-asetuksen alaista tietoa, ei häneltä myöskään tarvita lupaa mihinkään, jolloin evästelupakysely jää tarpeettomaksi.
Kun viime vuonna perustin Ilmastolokia, totesin, että haluan kerätä ainoastaan anonyymia dataa, johon ei tarvitse evästelupaa. Vierityspalkin innoittamana otin käyttöön Matomo-työkalun, joka mahdollistaa analytiikkatietojen keräämisen ilman evästelupaa. Vai mahdollistaako?
Matomo, deanonymisointi ja oikeutettu etu
Matomo tarjoaa ohjeet, joilla analytiikkaa on mahdollista kerätä GDPR:ää kunnioittavasti ilman käyttäjän lupaa. Matomon ohjeiden mukainen tietosuojaseloste sisältäisi seuraavanlaisen kohdan:
Matomo is processing the following personal data:
- IP address
… - Date and time
… - URL of the page being viewed
- URL of the page that was viewed prior to the current page
- Screen resolution
- Time in local timezone
… - Link clicks to an outside domain
… - Country, region, city
- Main Language of the browser
- User Agent of the browser
…
The processing of personal data with Matomo is based on legitimate interests.
Matomon GDPR-ohjeiden mukaisesti IP-osoitteen viimeiset kaksi oktettia olisi nollattu, jolloin IP-osoitteen avulla ei olisi mahdollista yksilöidä käyttäjää, ja samalla myös IP-osoitteeseen perustuvasta paikannuksesta tulee epätarkka. Matomo kutsuu tätä prosessia IP-osoitteen anonymisoimiseksi, mutta mielestäni asia ei ole ihan niin yksinkertaista. Useita datapisteitä on nimittäin mahdollista yhdistää ja näin rajata mahdollisia käyttäjiä, jotka sopivat annettuun profiiliin. Esimerkiksi:
- Anonymisoitu IP-osoite 87.92.0.0
- 65 000 mahdollista IP-osoitetta
- Lisäksi käyttöjärjestelmä MacOS, jonka markkinaosuus 6,54 %
- 4 300 mahdollista IP-osoitetta
- Lisäksi selain Chrome, jonka markkinaosuus 69,28 %
- 2 900 mahdollista IP-osoitetta
- jne.
Mitä useampia datapisteitä yhdistetään, sitä rajatumpaan joukkoon käyttäjiä kaikki ehdot yhdessä sopivat. Sopivalla kombinaatiolla datapisteitä ja mahdollisilla muilla itse analytiikan ulkopuolisilla tietolähteillä, kuten kommenteilla ja yhteydenottolomakkeilla (nimi, sähköpostiosoite, IP-osoite, ajankohta) sekä mahdollisilla asiakasrekistereillä ja sosiaalisen median analytiikkatyökaluilla saattaakin olla mahdollista yhdistää joitakin tunnistettuja käyttäjiä heitä vastaavaan anonyymiin toimintaprofiiliin ja deanonymisoida tämä data. Tällöin datasta, jonka piti olla anonyymia, tuleekin GDPR:n alaista henkilötietoa.
Toinen ongelma liittyy Matomon mainintaan, että datan käsittely perustuu oikeutettuun etuun. Traficomin laintulkinnan mukaan:
Mikäli –– analytiikan käyttöä [ei kyetä] perustelemaan palvelun tarjoamisen kannalta välttämättömäksi, tulisi suostumusta analytiikan käyttöön pyytää.
Eli ainakaan suomalaisen laintulkinnan mukaan analytiikkatarkoitukseen kerätyn henkilötiedon käsittely ei lähtökohtaisesti voi perustua oikeutettuun etuun.
Näistä syistä en ole vakuuttunut Matomon perusteluista palvelunsa soveltuvuudesta ilman käyttäjän suostumusta tapahtuvaan analytiikkadatan keräämiseen.
Koko Analytics – Matomoakin yksityisempi valinta
Selatessani mielenkiinnosta Toolbelt-monitoimilisäosan dokumentaatiota, löysin sattumalta maininnan Koko Analytics -lisäosasta. Koko Analytics on äärimmäisen pelkistetty työkalu WordPress-sivustojen kävijämäärien seurantaan. Se ei oikeastaan tallenna mitään muuta kuin yksittäisten sivujen näyttökerrat ja sivustotasolla liikenteen lähdedomainien jakauman. Yksittäisistä vierailuista ei tallennu minkäänlaista dataa, ja lisäosan asetuksista saa kytkettyä evästeet pois päältä, jolloin myöskään palvelimelle ei lähetetä evästeitä, joista vaikkapa jokin toinen lisäosa voisi kerätä ylimääräistä dataa käyttäjästä. Toisin sanoen kaikki mahdollisuudet lähteä profiloimaan liikenteen aiheuttajaa on eliminoitu täysin. Sen sijaan saan yhden helpon näkymän, jossa voin katsella kokonaisliikenteen kehitystä eri ajanjaksoilla ja päätellä, mistä domaineista sivustolle tulee liikennettä. Tämä riittää minulle.
Siispä luovuin Matomosta ja otin Koko Analyticsin käyttöön tällä sivustolla ja myös Ilmastolokin puolella – ilman ärsyttäviä evästelupia ja taatusti vierailijoiden yksityisyyttä kunnioittaen. Toimii!